Git for Windows 發現有兩個極嚴重 vulnerability!
- 喺一部 shared machine 入面放一個 C:\.git\config
- 因為所有 account 嘅 Git < 2.35.2 都會直接讀取呢個 global config
- hacker 就可以透過設定某幾款 config 行 arbitrary command execution 去攻擊嗰個 account
反思
好似以呢個為例原意可能只係
想提升產品 UX 自動掃 global config
咁就產生咗一個 vulnerability...
言而得閒睇下啲 vulnerability report 擴闊 software security design 思路,始終做 software design,要喺安全同方便要拎個平衡去方便用戶真心唔容易,睇多啲 hacker 會點利用某啲特性去鑽出個 vulnerability 有助啟發不同思考!
